A NAIH 2021. október 27-i, NAIH-2857/2021 számú határozatában egy gépkocsi-márkaszervíz és a vele együttműködő gépkocsi-importőr cég által végzett ügyfélelégedettség-méréssel kapcsolatos adatkezelési gyakorlatot vizsgálta. A NAIH több jogsértést is talált az adatkezeléssel kapcsolatban, és 5 millió forint bírságot szabott ki az ügyfélelégedettség-mérést küldő társaságra. A hatóság határozatának fontos tanulsága, hogy
önmagában nem jogellenes a címzettek hozzájárulása nélkül, kizárólag a GDPR 6. cikk (1) bekezdése f) pontjában meghatározott „jogos érdek” jogalapon ügyfélelégedettséget mérő kérdőíveket küldeni, fontos azonban a fokozott tájékoztatás és az előzetes tiltakozási jog biztosítása a címzettek számára.
Az alábbiakban részletesebben bemutatjuk az ügyet és az ügyfélelégedettség-mérést végző társaságok teendőit a NAIH határozatának tanulságai alapján.
A NAIH kapcsolódó határozata ITT elérhető.
Mi történt?
A NAIH-hoz forduló panaszos megadta email címét a gépkocsija szervizelését végző márkaszervíz számára. Ezt követően erre az email címre kéretlen emailt kapott a márkaszervízzel együttműködő gépkocsi-importőrtől azzal a kéréssel, hogy a szervizeléssel kapcsolatban kitöltsön egy ügyfélelégedettséget mérő kérdőívet, majd egy újabb emailt, melyben a válaszadás hiánya miatt ismét felkérték a kérdőív kitöltésére.
Az email nem tartalmazott információt arra vonatkozóan, hogy az email küldője az importőr, valamint, hogy a panaszos mely személyes adatait kezeli, milyen forrásból szerezte meg azokat, a GDPR 6. cikke szerint milyen jogalapon küldte az emailt, és a címzett hol találhat több információt az adatai kezelésével kapcsolatban.
Eljárása során a NAIH elsősorban azt vizsgálta, hogy az importőr által küldött ügyfélelégedettséget mérő emailekkel kapcsolatos adatkezelés jogszerű volt-e, különös tekintettel arra, hogy az importőr a panaszos személyes adatait és a szervizelés adatait jogszerűen szerezte-e meg a márkaszervíztől.
Az ügyfélelégedettség-mérést előíró szerződés adatvédelmi vizsgálata
A márkaszervíz az adatok átadásával kapcsolatban arra hivatkozott, hogy az adatok átadása során kizárólag az importőrrel kötött márkaszerviz szerződés alapján járt el. A vizsgálat során ezért a NAIH először is megvizsgálta a szerződést. A szerződés rendelkezései szerint az adattovábbítást az importőr egyoldalú kötelezettségként írta elő a márkaszerviz számára. A márkaszerviz köteles volt például az importőr által meghatározott formában ügyfélnyilvántartást vezetni, amelynek adatait köteles volt rendszeresen és folyamatosan átadni az importőrnek a gépjárművek és a rájuk vonatkozó szabályozás betartásának követhetősége, az esetleges visszahívási kampányok szervezése és nyomon követése, a végső vevők közötti közvélemény kutatás szervezése, valamint az ügyfelek elvárásainak leginkább megfelelő termékek és szolgáltatások kidolgozása és ajánlása céljából. A szerződés alapján az ügyfél-elégedettség mérése, az azzal kapcsolatos adatkör meghatározása, valamint a márkaszerviz adatok átadására kötelezése kizárólag az importőr egyoldalú döntésétől függött. A márkaszervíz és az importőr között létrejött szerződést a NAIH adatvédelmi szempontból ezért a GDPR 28. cikke szerinti adatfeldolgozási szerződésnek minősítette. Ennek gyakorlati következménye, hogy
a NAIH nem állapított meg jogsértést a márkaszervíz oldalán, mivel az ügyfélelégedettség-mérés tekintetében nem tekintette adatkezelőnek.
Milyen hiányosságokat állapított meg a NAIH?
A NAIH ugyanakkor három fő jogsértést állapított meg az importőr társaság oldalán:
1. A megfelelő adatvédelmi tájékoztatás hiánya. A társaság az ügyfélelégedettség-mérés során megfelelő egyéni tájékoztatás és érvényes jogalap hiányában kezelte a panaszos email címét, lakcímét és telefonszámát, valamint a gépjárműve technikai azonosító adatait. Ezzel a társaság megsértette a GDPR 5. cikk (1) bekezdés a) pontja szerinti jogszerű és átlátható adatkezelés elvét, a GDPR 12. cikk (1) bekezdése és a GDPR 13. cikke szerinti – tömör, átlátható, érthető és könnyen hozzáférhető formájú, világosan és közérthetően megfogalmazott tájékoztatás nyújtásának kötelezettségét, valamint a GDPR 5. cikk (2) bekezdése szerinti elszámoltathatóság elvét.
2. Az adatkezelés jogalapjának érvénytelensége. A társaság által végzett ügyfélelégedettség-mérés jogalapja a társaság azon jogos érdeke, hogy az érintett gépjárművek kizárólagos magyarországi importőreként ellenőrizhesse, hogy a magyarországi márkakereskedő és márkaszerviz partnerek az elvárt minőségi követelményeknek megfelelnek-e. A GDPR (47) preambulumbekezdésében meghatározott előreláthatósági és garanciális feltételek ugyanakkor nem teljesültek, mert a panaszos a megfelelő tájékoztatás hiányában ésszerűen nem láthatta előre az elégedettség-méréssel kapcsolatos email érkezését, és arra sem volt lehetősége, hogy tiltakozzon az adatkezelés ellen (vagyis jelezze a társaság számára, hogy nem szeretne ügyfélelégedettség-méréssel kapcsolatos emaileket kapni). A NAIH szerint ezért ebben a konkrét esetben a jogos érdek jogalap ezért nem érvényes.
3. Szükségtelen adatok kezelése. A társaság szerint az ügyfélelégedettség-mérés fő célja statisztikai, trend jellegű, a NAIH szerint azonban ehhez a célhoz szükségtelen az adott érintett azonosíthatósága. A gyakorlatban ez az jelenti, hogy nem szükséges egy emailes megkereséshez az érintett neve, lakcíme, telefonszáma, életkora és neme. A társaság az érdekmérlegelés során meg kellett volna vizsgálja, hogy az egyes szerviz adatok adott személyhez kötve történő begyűjtése és tárolása feltétlenül szükséges-e, vagy más módon is elérhetőek mind a statisztikai, és az esetleges panaszkezelési célok.
Mire kell figyelniük az ügyfélelégedettség-mérést végző társaságoknak?
A NAIH határozata alapján az ügyfélelégedettség-mérést végző társaságoknak az alábbiakra kell odafigyelniük:
1. Az ügyfélelégedettség-mérő email címzettjei elvárásainak vizsgálata az ügyfélelégedettség-méréshez kapcsolódó jogos érdek tesztben. A NAIH az ügyben felhívta a figyelmet, hogy jogos érdek alapján (GDPR 6. cikk (1) bekezdés f) pont) végzett adatkezelés esetén fokozott tájékoztatási elvárás érvényesül. Az adatkezelési tájékoztató kötelező elemein túl többlet-feltétel többek között, hogy az érintett ésszerű elvárása ki kell terjedjen az az ügyfélelégedettség-mérésre, arra számítania kell, és valamilyen közvetlen ügyféli vagy egyéb kapcsolat kell fennálljon az érintett és az ügyfélelégedettség-mérést végző társaság között. A tájékoztatás célja, hogy olyan helyzetbe hozza az érintettet, hogy megfelelő döntési helyzetben legyen jogai gyakorlásával kapcsolatban, különös tekintettel arra az esetre, ha az adatkezelővel nincs közvetlen kapcsolatban. (Az alapulfekvő ügyben a panaszos és az importőr között nem volt közvetlen jogi kapcsolat, ügyféli jogviszony.)
2. Az adatminimalizálás igazolása az ügyfélelégedettség-méréshez kapcsolódó jogos érdek tesztben. A kapcsolódó jogos érdek tesztben megfelelően alá kell támasztani, hogy a jogos érdekkel érintett cél eléréséhez legszükségesebb személyes adatokat kezeli az adatkezelő.
3. Fokozott tájékoztatás az ügyfélelégedettség-mérő emailek végén. A NAIH szerint az ügyfélelégedettség-mérő emailek végén legalább a legalapvetőbb információkat fel kell tüntetni: a küldő társaság mint adatkezelő személye, az email küldésének GDPR szerinti jogalapja, honnan jutott a küldő társaság a címzett adataihoz (adatforrás), valamint a küldő társaság részletes adatkezelési tájékoztatójának elérhetősége. Ide tartozhat még a leiratkozási link biztosítása is.
4. Az ügyfélelégedettség-mérő email címzettjei tiltakozási jogának biztosítása. A NAIH az alapulfekvő ügyben megállapította, hogy egyszeri elégedettség-mérő email küldése esetén annak megtörténtét követően érdemi hatással a tiltakozás nem rendelkezik. Az adatkezelést követően – különösen egy rövid ideig tartó vagy egyszeri adatkezelésnél – már kiüresedik a tiltakozási joga, így valójában nem biztosított ezen jog a számára. Ezen garanciák kell, hogy biztosítsák többek között azt, hogy az érintett tisztában legyen az adatkezeléssel, és azzal szemben tiltakozni tudjon, még az adatkezelést megelőzően.